google-predio.jpeg

Google paga US$ 6,5 mi por relatos de bugs de segurança

Da Redação
29/01/2020
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Cifra foi o total pago a pesquisadores por relatarem bugs de segurança por meio do Programa de Recompensa de Vulnerabilidades (VRP) em 2019

Mais de US$ 6,5 milhões foram pagos a pesquisadores por relatarem bugs de segurança por meio do Programa de Recompensa de Vulnerabilidades (VRP) do Google em 2019, informou a empresa em um anúncio feito nesta quarta-feira, 29.

Os valores das recompensas pagos por bugs qualificados pelo VRP do Google variam de US$ 100 a US$ 31.337, o que pode aumentar drasticamente para as cadeias de exploração. Foi exatamente o que aconteceu no caso de Guang Gong, da Alpha Lab, que recebeu US$ 201.337 por uma cadeia de exploração de execução remota de código em dispositivos Pixel 3.

O valor pago em recompensas do VRP pelo Google quase dobrou em 2019 quando comparado aos US$ 3,4 milhões pagos através do Google VRP em 2018 ou o valor total pago todos os anos desde que o programa foi lançado em 2010.

“Desde 2010, expandimos nossos VRPs para cobrir áreas adicionais de produtos do Google, incluindo Chrome, Android e, mais recentemente, o abuso”, diz o anúncio.

“Também expandimos para cobrir aplicativos populares de terceiros no Google Play, ajudando a identificar e divulgar vulnerabilidades para desenvolvedores de aplicativos impactados”.

No total, o Google pagou 461 pesquisadores de segurança em 2019, com a recompensa de mais de US$ 201 mil a Gong, o maior pagamento único de todos os tempos.

Nos últimos nove anos, a empresa recompensou os pesquisadores com aproximadamente US$ 15 milhões pelas vulnerabilidades qualificadas relatadas pelo programa.

Alterações no Google VRP em 2019

Em 2019, o Google aumentou os pagamentos do Chrome VRP “triplicando o valor máximo da recompensa da linha de base de US$ 5 mil para US$ 15 mil e dobrando o valor máximo da recompensa para relatórios de alta qualidade de US$ 15 mil para US$ 30 mil”.

O Google expandiu o escopo do Play Security Reward Program para incluir qualquer aplicativo com mais de 100 milhões de instalações, uma alteração que resultou no pagamento de mais de US$ 650 mil por bugs qualificados no segundo semestre do ano.

O programa Developer Data Protection Reward lançado em 2019 para permitir que os pesquisadores ajudem o Google na identificação e mitigação de problemas de abuso de dados em aplicativos Android, extensões do Chrome e projetos OAuth.

O programa Android Security Rewards da empresa também foi expandido em 2019, agora com recompensas mais altas e novas categorias de exploração.

“O prêmio máximo agora é de US$ 1 milhão para uma exploração remota de código em cadeia completa com persistência, o que compromete o elemento seguro Titan M em dispositivos Pixel”, explica o Google. E se o pesquisador conseguir essa exploração em versões específicas de pré-visualização do desenvolvedor do Android, o Google adiciona um bônus de 50%, fazendo com que o prêmio principal seja de US$ 1,5 milhão.

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest